Защита конфиденциальности электронной почты в регулируемых отраслях

Защита конфиденциальности электронной почты в регулируемых отраслях
Посетителей: 6139 \| Просмотров: 14556 (сегодня 0)	Шрифт:

Сценарий обеспечения конфиденциальности электронных сообщений

Следующая процедура по защите конфиденциальности электронной почты относится к сценариям для малого и среднего бизнеса, сходным с приведенным на следующем рисунке.

Рис. 1. Службы электронной почты в ИТ-среде среднего масштаба

В данном случае для пользователей электронной почты требуется обеспечить конфиденциальность электронной почты, отправляемой как внутренним, так и внешним получателям. Для обеспечения конфиденциальности применяется сервер Exchange Server 2003 и клиенты электронной почты с поддержкой стандарта S/MIME.

Сценарий обеспечения конфиденциальности электронных сообщений

Ниже описаны процедуры настройки, которые необходимо выполнить для обеспечения конфиденциальности электронной почты.

Перед проверкой

Перед тем как использовать S/MIME в среде Exchange Server 2003, необходимо иметь представление о том, как будут обрабатываться сообщения в случае применения следующих средств.

•	Журналы событий.
•	Антивирусное программное обеспечение.

Журналы событий и сообщения с цифровой подписью.

Журналы событий могут совершать с сообщениями электронной почты действия при их обработке сервером Exchange Server. Например, некоторые журналы сообщений изменяют содержимое и заголовки сообщений электронной почты в целях фильтрации. Наличие действительной цифровой подписи означает, что сообщение не было изменено при передаче. Журнал событий, вносящий изменения в сообщения электронной почты, делает цифровые подписи недействительными. При получении сообщения и обработке его цифровой подписи она будет недействительна, так как журнал событий изменил сообщение после его отправки.

Антивирусное программное обеспечение и сообщения S/MIME

При использовании серверных антивирусных решений шифрование, защищающее конфиденциальность тела сообщения и его вложений от несанкционированного доступа, также не позволяет антивирусному ПО проверять сообщения и вложения на наличие вирусов. Поскольку антивирусное программное обеспечение не в состоянии проверить зашифрованное сообщение, его вложение может содержать вирус. Следует определить схему предотвращения этой опасности в соответствии с политикой безопасности.

Кроме того, если антивирусная программа обнаружит вирус в сообщении электронной почты с цифровой подписью и очистит сообщение, то такие действия могут сделать цифровую подпись недействительной, так как антивирусное ПО изменило содержимое сообщения при передаче. Несмотря на то, что эти изменения не носят злонамеренного характера, согласно службе цифровой подписи сообщение было изменено и будет определено как измененное.

Настройка сервера Exchange Server 2003 для обеспечения конфиденциальности электронной почты

При хранении сообщений электронной почты S/MIME сервером Exchange Server единственным требованием является настройка хранилища сообщений для работы с подписями S/MIME. Поскольку сообщения S/MIME могут храниться в почтовых ящиках пользователей и общедоступных папках, хранилища для обоих этих компонентов можно настроить для хранения сообщений с подписями S/MIME.

Войдите в систему с учетной записью, входящей в одну из следующих групп.

•	Группа «Администраторы» на локальном компьютере.
•	Группа, к которой на уровне административной группы была применена по меньшей мере роль Exchange View Only Administrators

В меню Пуск выберите пункт Все программы, Microsoft Exchange и System Manager. Появится диспетчер Exchange (приведенный на следующем снимке экрана).

Диспетчер Exchange

Разверните элементы Серверы, , Группа хранения, щелкните правой кнопкой мыши элемент Хранилище почтовых ящиков, затем выберите пункт меню Свойства.

На странице Свойства установите флажок Clients support S/MIME signatures, как показано на следующем снимке экрана.

Хранилище почтовых ящиков

Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок

Автоматическая подача заявок позволяет клиентам автоматически передавать заявки на сертификаты в центр сертификации (CA), а также получать и хранить выданные сертификаты. Клиенты операционных систем Microsoft Windows® XP и Windows Server™ 2003 могут участвовать в автоматической подаче заявок сертификатов пользователей и сертификатов компьютеров. Автоматическая подача заявок уменьшают общую стоимость владения (TCO), снижая затраты, связанные с процессом подачи заявок и обновления сертификатов.

Для включения параметров автоматической подачи заявок

Войдите в систему с учетной записью администратора.

В меню «Администрирование» выберите пункт «Active Directory — пользователи и компьютеры».

В дереве консоли щелкните правой кнопкой домен, к которому необходимо применить параметры автоматической подачи заявок. В появившемся меню выберите пункт «Свойства».

Для включения автоматической подачи заявок объект групповой политики (GPO) должен быть привязан либо к домену, либо к подразделению организации, к которому принадлежит пользователь или компьютер.

Объект групповой политики

В диалоговом окне Свойства на вкладке Групповая политика нажмите кнопку Открыть, чтобы открыть консоль управления групповой политикой.

Создайте объект, привязанный к домену.

В редакторе объектов групповой политики в дереве консоли раскройте пункт Конфигурация пользователя.

В дереве консоли раскройте элементы Конфигурация Windows, Параметры безопасности, затем щелкните Политики открытых ключей, как показано на следующем снимке экрана.

Политики открытых ключей

В области сведений дважды щелкните пункт Параметры автоматической подачи заявок. В диалоговом окне Параметры автоматической подачи заявок убедитесь, что параметры выбраны так, как показано на следующем снимке экрана:

•	Автоматическая подача заявки на сертификаты. Этот параметр включает автоматическую подачу заявок на сертификаты для подразделения организации, к которому привязан объект GPO.
•	Флажок Обновлять сертификаты с истекшим сроком действия, обновлять отозванные и устанавливать сертификаты в состоянии ожидания. Данный параметр включает автоматическую подачу заявок возобновления сертификатов, выпуск приостановленных сертификатов и удаление отозванных из хранилища сертификатов объекта.
•	Флажок Обновлять сертификаты на основе шаблонов сертификатов. Данный параметр включает автоматическую подачу заявок на вышедшие ранее шаблоны сертификатов.

Параметры автоматической подачи заявок

Нажмите кнопку ОК.

Теперь для подразделения организации, к которому привязан объект GPO, включена автоматическая подача заявок.

Параметры автоматической подачи заявок будут применены, как только объект GPO будет применен к пользователю. Автоматическая подача заявок пользователя включится при интерактивном входе пользователя в систему или по прошествии интервала обновления групповой политики.

Обновить параметры объекта GPO можно вручную на клиентском компьютере с установленной Windows XP или Windows Server 2003, принудительно задействовав обновление групповой политики. Для этого нужно ввести GPUpdate /force в командной строке целевой рабочей станции.

Настройка приложения Outlook 2003 для обеспечения конфиденциальности электронной почты

Для успешной отправки зашифрованного сообщения электронной почты получатель должен иметь цифровой сертификат. При попытке отправки зашифрованного сообщения электронной почты пользователю, не имеющему цифрового сертификата, будет получено сообщение об ошибке. Убедитесь, что указания в разделе «Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок» в отношении всех тестовых пользователей были выполнены перед отправкой им сообщений электронной почты.

Настройка Microsoft Outlook для обеспечения конфиденциальности электронной почты

1.	Войдите в домен как член группы пользователей домена.
2.	В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.
3.	Выберите пункт меню Сервис, затем Параметры. Появится следующее диалоговое окно.
4.	Выберите вкладку Безопасность и нажмите кнопку Параметры.
5.	Программа Outlook заполнит диалоговое окно Изменить параметры безопасности данными по умолчанию. Нажмите кнопку ОК, чтобы принять значения по умолчанию, как показано на следующем снимке экрана.
6.	Нажмите кнопку OK, чтобы закрыть диалоговое окно Параметры.

Таким образом можно настроить программу Microsoft Outlook для обеспечения конфиденциальности электронной почты.

Страницы: < 1 2 3 4 >

Иcточник: Microsoft TechNet • Опубликована: 24.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: